Agentic 系统 / AI Agent Harness 可调研方向头脑风暴
把"AI coding agent harness"作为一个完整工程对象解剖,穷举可调研的技术子系统,收敛出写进通用知识库一章(05-Agent 系统与 Harness)的章节划分。落点是知识文档综述,不是产品评测。
名词定义
Harness(运行骨架):包裹 LLM 的确定性基础设施——上下文管理、工具路由、权限门、恢复逻辑。Claude Code 分析显示其代码 98.4% 是 harness 基础设施,仅 1.6% 是 AI 决策逻辑。
Compaction(上下文压缩):会话接近 context window 上限时,总结历史并在新窗口重启。区别于 context-reset(原地总结、同一 agent 续跑)与全新窗口(清空重来)。
Context engineering(上下文工程):prompt engineering 的演进,把有限的 context window 当作工程资源管理——写入 / 选取 / 压缩 / 隔离四类操作。
MCP(Model Context Protocol):Anthropic 2024-11 提出的 agent 接外部工具/服务的标准协议,号称 "USB-C for AI"。
Subagent / fan-out:主 agent 派生子 agent 并行处理独立子任务,子 agent 的上下文与主上下文隔离,最终只回传结论。
SWE-bench / Terminal-Bench:coding agent 的两类主流评测。前者测改 GitHub issue 的能力,后者测命令行任务(shell / CLI / 进程管理),覆盖 SWE-bench 的盲区。
Prompt injection / tool poisoning / confused deputy:通过工具返回或外部内容注入恶意指令,诱导持有权限的 agent 替攻击者执行动作的攻击面。
候选清单(按维度)
九个一级维度对应 harness 的九个子系统,每个是一条独立调研线。
上下文与记忆
- compaction 策略谱 — compaction / 原地 context-reset / 全新窗口三选一的取舍
- 文件型分层记忆 — CLAUDE.md/MEMORY.md/rules/handoff 外置记忆
- 记忆学术三范式 — flat retrieval / structured / policy-managed
- context-folding 与 offload — 长 horizon 折叠、子 agent 卸载(write/select/compress/isolate)
- codebase 检索 — grep vs embedding、代码库 RAG 索引
- 生产记忆系统 — Mem0 / A-Mem / LiCoMemory
编排与工作流
- 单 loop vs 多 agent — ReAct 单循环 vs fan-out 多 agent
- 编排拓扑三范式 — 有向图(LangGraph) / 角色 crew(CrewAI) / 会话 GroupChat(AutoGen)
- 确定性 workflow DSL — pipeline / barrier / 脚本化编排
- 长任务 session 化 — initializer + coding agent 两段式、逐 session 增量
- 状态 checkpoint — checkpoint / time-travel / resume
工具系统
- 工具设计原则 — 粒度 / 描述 / 错误反馈
- MCP 协议 — server 生态、code-execution vs tool-orchestration
- 工具发现与延迟加载 — 工具爆炸下的 deferred schema
- subagent-as-tool — 子 agent 当工具调用
- 代码执行替代编排 — 用写代码取代多工具串调
规划与自纠
- reflection 与 self-repair — 反思 / 自修复 / self-evolve
- 对抗式验证 — N 个 skeptic 投票证伪
- 验证闭环 — 跑测试 / 编译驱动的 verifier
- 任务分解 — DAG / 递归分解
模型层优化
- system prompt 工程 — context engineering 三原则
- model routing — opus/sonnet/haiku 按任务分层降档
- prompt caching — cache TTL / 命中率 / 成本
- token 经济学 — 预算与质量权衡
人机交互与控制
- 权限模式 — deny-first gate + ML classifier 审批
- HITL 与 steering — 中断 / 转向 / 异步通知
- remote 异步控制 — remote control、async SWE agent
- handoff 交接
安全与沙箱
- prompt injection 防御 — confused deputy / tool poisoning
- 沙箱隔离 — Docker(OpenHands/SWE-agent) vs WASM vs 策略门(Claude Code)
- MCP 供应链 — 工具装后变更、跨 server 拦截
- 密钥与数据外泄
评测与可观测
- SWE-bench 家族 — Verified / Pro / Multilingual / Multimodal
- Terminal-Bench — CLI 任务、LongCLI-Bench 长 horizon
- 极端上下文压测 — LOCA-bench
- tracing 与成本度量
- benchmark 饱和 — Ouroboros 自指困境
扩展性与生态
- skill 系统 — progressive disclosure / 触发机制
- hook 系统 — 生命周期拦截
- plugin marketplace — 插件 / 自定义 agent
- AGENTS.md 约定
业界对标
| 来源 | 提供的差异化技术点 |
|---|---|
| Anthropic 工程博客(context engineering / harness design) | compaction 三策略、initializer+coding 两段 harness、context 为有限资源 |
| "Dive into Claude Code"(arXiv 2604.14228) | 98.4% infra / 1.6% 决策逻辑、deny-first 安全门、harness 由信任模型决定 |
| LLM Agent Memory Survey(preprints 202603.0359) | 记忆三范式、construction/update/query 三阶段 |
| LangGraph / CrewAI / AutoGen 对比 | 图 vs crew vs 会话三种编排、状态持久化差异、GroupChat 成本爆炸 |
| MCP 安全研究(simonwillison / arXiv 2603.22489) | tool poisoning、装后变更、跨 server 拦截、WASM 沙箱 |
| Terminal-Bench(arXiv 2601.11868)/ SWE-bench Pro | CLI 评测补 SWE-bench 盲区、benchmark 饱和 |
@tbl-bs-agentic-industry 业界对标差异化技术点
收敛矩阵(Weighted Scoring)
权重:知识价值 0.4 / 信息可得性 0.3 / 新颖度 0.2 / 易写性 0.1(1-5 分)。排的是九节写作优先级。
| 维度 | 价值 | 可得 | 新颖 | 易写 | 总分 | 档位 |
|---|---|---|---|---|---|---|
| 工具系统 / MCP | 5 | 5 | 4 | 3 | 4.6 | MUST |
| 上下文与记忆 | 5 | 5 | 4 | 4 | 4.5 | MUST |
| 编排与工作流 | 5 | 5 | 3 | 3 | 4.4 | MUST |
| 安全与沙箱 | 4 | 5 | 4 | 3 | 4.2 | MUST |
| 规划与自纠 | 4 | 4 | 4 | 3 | 3.9 | SHOULD |
| 评测与可观测 | 4 | 5 | 3 | 4 | 3.9 | SHOULD |
| 模型层优化 | 4 | 3 | 3 | 4 | 3.3 | COULD |
| 扩展性与生态 | 3 | 4 | 3 | 4 | 3.2 | COULD |
| 人机交互与控制 | 3 | 3 | 4 | 4 | 3.1 | COULD |
@tbl-bs-agentic-scoring 九维度 Weighted Scoring 收敛矩阵
章节落地规划(两级结构)
落点 docs/knowledge/05-Agent 系统/。核心子系统下沉为子章节文件夹,每个文件夹含 01-总览.md + 多篇原子深挖文档(一篇锁一个技术点,教材化骨架)。划界原则:跨子系统耦合用链接,不复制内容。
子章节地图
| 子章节 | 深度 | 篇数 | 批次 |
|---|---|---|---|
01-总览.md(大章级单文档) | — | 1 | 1 |
02-上下文工程/(窗口内组织与压缩) | 中 | 5 | 2 |
03-记忆系统/(跨窗口存取) | 深 | 8 | 1 |
04-编排与工作流/ | 深 | 6 | 2 |
05-工具系统与 MCP/ | 深 | 5 | 2 |
06-规划与自纠/ | 中 | 4 | 3 |
07-安全与沙箱/ | 中 | 4 | 3 |
08-评测与可观测/ | 中 | 4 | 3 |
09-人机交互与控制/ | 浅 | 4 | 4 |
10-扩展性与生态/ | 浅 | 4 | 4 |
原 "模型层优化" 维度溶入:token 经济学 / prompt caching / system prompt 归 02,model routing 归 04。
03-记忆系统/(batch 1 深挖样本)
02 管单次窗口内放什么;03 管跨窗口怎么存取遗忘。compaction 划给 03(本质是把历史转成可持久记忆),02 仅引用。
| 文档 | 独占的技术内核 |
|---|---|
| 01-总览.md | 记忆问题定义、为何 context window 不够、分类框架总图 |
| 02-记忆分类体系.md | 三正交轴:学术三范式(flat/structured/policy)× 时间尺度 × 内容类型(episodic/semantic/procedural) |
| 03-compaction-与上下文压缩.md | compaction vs context-reset vs 全新窗口、summarizer 预压缩、context anxiety |
| 04-文件型外置记忆.md | filesystem-as-memory、CLAUDE.md/MEMORY.md/rules 分层、handoff |
| 05-向量检索记忆.md | vector store、kNN-LM、Memorizing Transformer、embedding vs grep、chunk 策略 |
| 06-记忆操作生命周期.md | write/select/compress/isolate 四操作、construction/update/query 三阶段、遗忘 |
| 07-生产记忆系统对标.md | Mem0 / A-Mem / LiCoMemory / MemGPT(Letta) 架构横评 |
| 08-记忆安全.md | 记忆投毒、mnemonic sovereignty、跨 session 污染 |
02-上下文工程/
| 文档 | 技术内核 |
|---|---|
| 01-总览.md | context 为有限资源、prompt -> context engineering 演进 |
| 02-上下文三原则.md | Anthropic 三原则、write/select/compress/isolate 映射 |
| 03-系统提示词工程.md | system prompt 结构、role/instruction/工具描述设计 |
| 04-窗口内信息组织.md | front-loading、工具结果裁剪、attention 衰减、信息布局 |
| 05-token-经济学.md | token 预算、prompt caching TTL/命中率、成本-质量权衡 |
04-编排与工作流/
| 文档 | 技术内核 |
|---|---|
| 01-总览.md | 编排问题、单 vs 多 agent 取舍框架 |
| 02-单agent-loop.md | ReAct、plan-act-observe、ReWOO |
| 03-多agent-fanout.md | fan-out/fan-in、subagent 上下文隔离、何时该多 agent |
| 04-编排拓扑.md | 图(LangGraph)/角色 crew(CrewAI)/会话 GroupChat(AutoGen) 横评 |
| 05-确定性workflow.md | workflow DSL、pipeline/barrier、确定性 vs model-driven |
| 06-长任务与状态.md | session 化、initializer+coding 两段、checkpoint/resume/time-travel |
05-工具系统与 MCP/
| 文档 | 技术内核 |
|---|---|
| 01-总览.md | tool calling 机制、工具调用范式 |
| 02-工具设计原则.md | 粒度、描述、错误反馈、命名 |
| 03-MCP-协议.md | MCP 架构、server/client、transport、生态 |
| 04-工具发现与延迟加载.md | 工具爆炸、deferred schema、tool search |
| 05-代码执行vs工具编排.md | code-execution 替代多工具串调、subagent-as-tool |
06-规划与自纠/
| 文档 | 技术内核 |
|---|---|
| 01-总览.md | 规划与验证为何关键 |
| 02-任务分解.md | DAG、递归分解、todo 管理 |
| 03-反思与自修复.md | reflection、self-repair、self-evolve |
| 04-验证闭环.md | verifier-driven、跑测试/编译、对抗式投票验证 |
07-安全与沙箱/
| 文档 | 技术内核 |
|---|---|
| 01-总览.md | agent 攻击面总图 |
| 02-prompt-injection.md | confused deputy、tool poisoning、间接注入 |
| 03-沙箱隔离.md | Docker/WASM/策略门三路线、deny-first gate |
| 04-MCP供应链.md | 装后变更、跨 server 拦截、密钥外泄 |
08-评测与可观测/
| 文档 | 技术内核 |
|---|---|
| 01-总览.md | 评测为何难、评测维度 |
| 02-SWE-bench家族.md | Verified/Pro/Multilingual/Multimodal |
| 03-终端与长horizon评测.md | Terminal-Bench、LongCLI-Bench、LOCA-bench |
| 04-可观测与成本度量.md | tracing、telemetry、benchmark 饱和(Ouroboros) |
09-人机交互与控制/
| 文档 | 技术内核 |
|---|---|
| 01-总览.md | 交互与控制面总图 |
| 02-权限与审批.md | 权限模式、deny-first、ML classifier(与 07 链接) |
| 03-HITL与steering.md | 中断、转向、异步通知 |
| 04-远程与异步agent.md | remote control、async SWE agent、handoff |
10-扩展性与生态/
| 文档 | 技术内核 |
|---|---|
| 01-总览.md | 扩展机制总图 |
| 02-skill系统.md | progressive disclosure、触发机制 |
| 03-hook系统.md | 生命周期拦截、自动化 |
| 04-plugin与agent生态.md | marketplace、自定义 agent、AGENTS.md 约定 |
开放问题
- 综述定位:偏"业界现状罗列"还是"可借鉴设计模式提炼"?后者每节末加 takeaway 段。倾向后者。
- 二级嵌套的 docs-site sidebar 支持留到落地时验证,先写文档内容。